-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña de Nimbus Manticore entrega la backdoor Minijunk y el stealer MiniBrowse
El equipo de analistas del Csirt Financiero identificó actividad atribuida a Nimbus Manticore enfocada en utilizar portales falsos de “carreras” con URL y credenciales únicas por objetivo para entregar archivos comprimidos que activan una cadena de carga de DLL en múltiples etapas, con una puerta trasera identificada como MiniJunk y un stealer denominado MiniBrowse.
Campaña de XWorm RAT distribuida mediante shellcode en archivos de Office
Publicado: 28/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente del troyano de acceso remoto XWorm, la cual emplea un proceso de infección en varias etapas que combina correos maliciosos y técnicas para evadir su detección.
Nueva actividad de BQTLOCK
Publicado: 27/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de BQTLOCK.
Campaña de phishing utiliza archivos SVG para distribuir Amatera Stealer y PureMiner
Publicado: 27/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing dirigida contra usuarios en Ucrania que emplea archivos SVG maliciosos como vector de ataque.
Nueva variante de XCSSET amplía sus capacidades con persistencia en macOS
Publicado: 26/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano XCSSET, la cual presenta modificaciones importantes en sus módulos y mecanismos de persistencia. Esta amenaza está diseñada para infectar proyectos de Xcode, un entorno de desarrollo usado en equipos macOS, lo que facilita su propagación cuando los archivos de proyectos son compartidos entre desarrolladores.
Nueva actividad de Zloader: evolución de un troyano bancario con capacidades avanzadas
Publicado: 22/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad maliciosa de Zloader, un troyano bancario basado en Zeus que ha estado activo desde 2015, el cual ha experimentado actualizaciones recientes (versiones 2.11.6.0 y 2.13.7.0) que le otorgan funcionalidades mejoradas en evasión, comunicaciones de red y descubrimiento de redes internas.
Nueva campaña de que usa archivos SVG entrega el RAT AsyncRAT en Colombia
Publicado: 22/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa en Colombia que utiliza archivos SVG como vector de entrega para propagar AsyncRAT, un troyano de acceso remoto con capacidades de vigilancia, exfiltración de credenciales y control remoto de equipos comprometidos.
Nueva actividad relacionada con Kawa4096
Publicado: 21/09/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a Kawa4096, un grupo de ransomware detectado por primera vez en junio de 2025 y que ha tenido como objetivo a organizaciones de carácter multinacional en sectores como finanzas, educación y servicios.
Aplicaciones troyanizadas en Google Play propagan el spyware Joker
Publicado: 21/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.
Nueva campaña de BeaverTail distribuido mediante repositorios maliciosos y señuelos ClickFix
Publicado: 20/09/2025 | Importancia: Media
El equipo del Csirt Financiero ha identificado una campaña activa que distribuye al stealer BeaverTail junto con el módulo secundario InvisibleFerret. Esta amenaza, observada desde mayo de 2025, se caracteriza por su capacidad de exfiltrar credenciales del sistema, navegadores y monederos de criptomonedas, además de incorporar funciones de acceso remoto.
Colaboración entre Gamaredon y Turla amplía capacidades de espionaje digital
Publicado: 20/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.
Nueva campaña de distribución del RAT SilentSync mediante paquetes maliciosos en PyPI
Publicado: 20/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada al troyano de acceso remoto SilentSync, el cual se distribuye a través de paquetes maliciosos en el repositorio público de Python (PyPI). Estos paquetes se hacen pasar por librerías legítimas para engañar a desarrolladores.
Nueva actividad relacionada con Raven Stealer
Publicado: 20/09/2025 | Importancia: Media
A través de actividades realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el stealer Raven, lo que indica que sus operadores continúan desarrollando y desplegando variantes activas de este malware, el cual está diseñado específicamente para afectar navegadores basados en Chromium, como Google Chrome, Microsoft Edge y Brave, extrayendo información sensible almacenada localmente, incluyendo contraseñas, cookies, datos de autocompletado y detalles de pago.
Nueva campaña de Atomic infostealer
Publicado: 19/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña de Atomic.
Nueva campaña de distribución de DeerStealer
Publicado: 19/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de DeerStealer, caracterizada por su ejecución en múltiples etapas, mecanismos de persistencia y técnicas de ocultamiento similares a un rootkit.
Nuevo loader detectado
Publicado: 19/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado CountLoader.
Nueva campaña de phishing en Latinoamérica distribuye el troyano de acceso remoto Ratty
Publicado: 18/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing focalizada en usuarios de Latinoamérica, con especial incidencia en Perú, que emplea archivos PDF como señuelo para distribuir el troyano de acceso remoto Ratty.
Campaña de GOLD SALEM despliega Warlock Ransomware mediante explotación de vulnerabilidades
Publicado: 17/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.
Nueva campaña de BlackLock ransomware
Publicado: 17/09/2025 | Importancia: Media
El equipo del Csirt Financiero ha identificado una nueva campaña activa atribuida al grupo BlackLock, una operación de ransomware anteriormente conocida como “El Dorado”. Esta amenaza se destaca por su capacidad de comprometer entornos Windows, Linux y VMware ESXi mediante un binario compilado en lenguaje Go, que facilita su ejecución multiplataforma y refuerza su evasión.
Campaña de fraude masivo genera eliminación de aplicaciones de la Google Play Store
Publicado: 16/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.
Nueva campaña del grupo RevengeHotels distribuye VenomRAT
Publicado: 16/09/2025 | Importancia: Media
RevengeHotels, conocido también como TA558, ha lanzado una nueva serie de campañas contra hoteles de América Latina, particularmente en Brasil.
BlackLock: una operación RaaS con capacidades avanzadas de cifrado
Publicado: 15/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a BlackLock, un grupo de ransomware emergente que ha mostrado una rápida evolución desde su origen.
Nueva campaña de Maranhão Stealer vía instaladores troyanizados
Publicado: 15/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Maranhão Stealer, un infostealer desarrollado en Node.js que emplea inyección de DLL reflectante para exfiltrar credenciales. La campaña, activa desde mayo de 2025 y aún en desarrollo, se distribuye a través de sitios de ingeniería social alojados en plataformas en la nube, los cuales ofrecen software pirateado.
Nueva cadena de infección de DarkCloud stealer enfocada al sector financiero
Publicado: 14/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a DarkCloud Stealer, una amenaza orientada a la captura y exfiltración de credenciales en entornos financieros. Esta operación maliciosa emplea mensajes de correo electrónico de phishing con archivos comprimidos en formato RAR que contienen scripts VBE.
Campaña de GONEPOSTAL permite a KTA007 operar de manera encubierta dentro de Outlook
Publicado: 14/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.
Nueva campaña de XWorm y Remcos distribuidos mediante BAT y archivos SVG
Publicado: 13/09/2025 | Importancia: Media
El equipo del Csirt Financiero identificó una campaña activa que distribuye los troyanos de acceso remoto XWorm y Remcos mediante archivos ZIP. Orientada a equipos Windows, la operación persigue el control remoto del sistema y la captura sistemática de información sensible, destacando técnicas de ejecución en memoria de ensamblados .NET, desactivación de AMSI/ETW y persistencia a través de la carpeta de Inicio.
Ransomware BlackNevas en expansión global
Publicado: 13/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó que el ransomware BlackNevas ha intensificado su actividad desde noviembre de 2024, consolidándose como una amenaza relevante a nivel global.
Campaña de Mustang Panda introduce variantes avanzadas de Toneshell y SnakeDisk
Publicado: 13/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo Hive0154, también conocido como Mustang Panda, en la que se identificó el uso de dos amenazas principales: la puerta trasera Toneshell en su versión más reciente y el gusano USB SnakeDisk.
Nuevo backdoor con capacidades avanzadas
Publicado: 13/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor de nombre Buterat.
Nuevo grupo de ransomware llamado Yurei
Publicado: 13/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.